Nowicjusz z problemem o nazwie bndmss.exe

nitro18 · 17 Kwiecień 2009 16:42

Takie cos pojawia mi sie w menadżerze zadań. Czytalem gdzies jak to ludzie robia w programie Hijack, ale nie umiem sie nim posługiwac (mam juz na dysku). Prosze o napisanie krok po kroku co i jak mam robic. Mile widziana pomoc online na gg 234883

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:52:27, on 2009-04-17

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\svchost.exe

C:\WINDOWS\system32\bndmss.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\jacu\Menu Start\Programy\Autostart\ctfmon.exe

C:\Program Files\Hamachi\hamachi.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

O4 - HKLM…\Run: [bearShare] “E:\Program Files\BearShare\BearShare.exe” /pause

O4 - HKLM…\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM…\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 “EPSON Stylus CX3600 Series” /O6 “USB001” /M “Stylus CX3600”

O4 - HKLM…\Run: [EPSON Stylus CX3600 Series (Kopia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 “EPSON Stylus CX3600 Series (Kopia 1)” /O5 “LPT1:” /M “Stylus CX3600”

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [DAEMON Tools Lite] “C:\Program Files\DAEMON Tools Lite\daemon.exe” -autorun

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-20…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - HKUS.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘Default user’)

O4 - Startup: ctfmon.exe

O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O17 - HKLM\System\CCS\Services\Tcpip…{802255F0-A35C-412B-BE54-7BD7CF19063B}: NameServer = 213.241.79.37 83.238.255.76

O23 - Service: Windows Network Data Management System Service (BNDMSS) - Unknown owner - C:\WINDOWS\system32\bndmss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

–

End of file - 5417 bytes

Poszukałem i znalazłem jak zrobic log z tego programu.

Aha i jeszcze jedno, ten proces nie chce sie wyłączyć jak daje “zakończ proces” w menadżerze ://

_Blade · 17 Kwiecień 2009 16:58

Widać syf

Daj jeszcze log z Combofix (na dole w linku)

nitro18 · 17 Kwiecień 2009 17:16

ComboFix 09-04-17.05 - jacu 2009-04-17 19:06.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.1023.741 [GMT 2:00]

Uruchomiony z: c:\documents and settings\jacu\Pulpit\ComboFix.exe

* Utworzono nowy punkt przywracania

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

c:\documents and settings\jacu\Menu Start\Programy\Autostart\ctfmon.exe

c:\recycled\Recycled

c:\recycled\Recycled\ctfmon.exe

c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013

c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

c:\windows\svchost.exe

c:\windows\system32\bndmss.exe

D:\Autorun.inf

E:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_BNDMSS

-------\Service_BNDMSS

((((((((((((((((((((((((( Pliki utworzone od 2009-03-17 do 2009-04-17 )))))))))))))))))))))))))))))))

.

2009-04-17 15:01 . 2009-04-17 15:01 -------- d-----w c:\documents and settings\jacu\Dane aplikacji\Malwarebytes

2009-04-17 15:01 . 2009-04-17 15:01 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Malwarebytes

2009-04-16 05:07 . 2009-04-17 13:12 8552 ----a-w c:\documents and settings\jacu\bvd32.exe

2009-04-16 05:00 . 2008-04-13 22:15 26368 -c–a-w c:\windows\system32\dllcache\usbstor.sys

2009-04-13 08:15 . 2009-04-15 17:33 138512 ----a-w c:\windows\system32\drivers\PnkBstrK.sys

2009-04-13 08:15 . 2009-04-15 17:33 201440 ----a-w c:\windows\system32\PnkBstrB.exe

2009-04-13 08:15 . 2009-04-13 08:15 -------- d-----w c:\windows\system32\LogFiles

2009-04-13 08:15 . 2009-04-13 08:15 66872 ----a-w c:\windows\system32\PnkBstrA.exe

2009-04-05 19:01 . 2009-04-17 17:11 -------- d-----w c:\documents and settings\jacu\Dane aplikacji\Hamachi

2009-04-05 19:01 . 2009-04-05 19:01 25280 ----a-w c:\windows\system32\drivers\hamachi.sys

2009-04-04 20:51 . 2009-04-04 20:51 -------- d-----w c:\documents and settings\jacu\Ustawienia lokalne\Dane aplikacji\Help

2009-03-23 19:27 . 2009-03-23 19:27 -------- d-----w c:\documents and settings\jacu\Ustawienia lokalne\Dane aplikacji\Identities

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-17 17:10 . 2009-04-17 15:01 -------- d-----w c:\program files\Malwarebytes’ Anti-Malware

2009-04-17 16:29 . 2009-04-17 16:29 -------- d-----w c:\program files\Trend Micro

2009-04-17 15:03 . 2009-04-17 15:03 -------- d-----w c:\program files\CCleaner

2009-04-05 19:01 . 2009-04-05 19:01 -------- d-----w c:\program files\Hamachi

2009-04-04 20:14 . 2009-03-08 18:05 -------- d–h--w c:\program files\InstallShield Installation Information

2009-03-31 17:59 . 2001-10-26 19:15 49492 ----a-w c:\windows\system32\perfc015.dat

2009-03-31 17:59 . 2001-10-26 19:15 355486 ----a-w c:\windows\system32\perfh015.dat

2009-03-17 17:51 . 2009-03-13 09:24 -------- d-----w c:\program files\epson

2009-03-16 19:53 . 2009-03-16 19:53 -------- d-----w c:\program files\A4Tech

2009-03-16 18:06 . 2009-03-16 18:06 -------- d-----w c:\program files\DAEMON Tools Lite

2009-03-16 18:02 . 2009-03-16 18:02 716272 ----a-w c:\windows\system32\drivers\sptd.sys

2009-03-16 18:02 . 2009-03-16 18:02 -------- d-----w c:\documents and settings\jacu\Dane aplikacji\DAEMON Tools

2009-03-14 21:31 . 2009-03-08 17:52 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-03-14 13:48 . 2009-03-14 13:48 -------- d-----w c:\documents and settings\jacu\Dane aplikacji\teamspeak2

2009-03-14 13:48 . 2009-03-14 13:47 -------- d-----w c:\program files\Teamspeak2_RC2

2009-03-13 09:23 . 2009-03-13 09:23 17080 ----a-w c:\documents and settings\jacu\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-03-13 08:24 . 2009-03-13 08:24 5058 ----a-w c:\windows\Help\hhcolreg.dat

2009-03-13 08:21 . 2009-03-13 08:21 -------- d-----w c:\documents and settings\jacu\Dane aplikacji\Microsoft Web Folders

2009-03-13 08:20 . 2009-03-08 17:54 -------- d-----w c:\program files\microsoft frontpage

2009-03-13 08:14 . 2009-03-13 08:14 -------- d-----w c:\program files\Common Files\Adobe

2009-03-10 14:47 . 2009-03-10 14:46 -------- d-----w c:\documents and settings\jacu\Dane aplikacji\Ventrilo

2009-03-10 14:46 . 2009-03-10 14:46 -------- d-----w c:\program files\VentriloMIX

2009-03-08 18:55 . 2009-03-08 18:55 -------- d-----w c:\documents and settings\jacu\Dane aplikacji\Gadu-Gadu

2009-03-08 18:17 . 2009-03-08 18:17 -------- d-----w c:\program files\Thomson

2009-03-08 18:12 . 2009-03-08 18:12 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\nView_Profiles

2009-03-08 18:10 . 2009-03-08 18:10 -------- d-----w c:\program files\Gadu-Gadu

2009-03-08 18:08 . 2009-03-08 18:08 -------- d-----w c:\program files\Winamp

2009-03-08 18:06 . 2009-03-08 18:05 -------- d-----w c:\program files\Common Files\InstallShield

2009-03-08 18:05 . 2009-03-08 18:05 -------- d-----w c:\program files\Realtek Sound Manager

2009-03-08 18:05 . 2009-03-08 18:05 -------- d-----w c:\program files\AvRack

2009-03-08 17:51 . 2009-03-08 17:51 -------- d-----w c:\program files\Usługi online

2009-03-08 17:48 . 2009-03-08 17:48 21856 ----a-w c:\windows\system32\emptyregdb.dat

2009-03-08 17:48 . 2009-03-08 17:48 -------- d-----w c:\program files\Windows Media Connect 2

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“Gadu-Gadu”=“c:\program files\Gadu-Gadu\gg.exe” [2007-11-14 2131392]

“ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2008-04-14 15360]

“DAEMON Tools Lite”=“c:\program files\DAEMON Tools Lite\daemon.exe” [2008-02-13 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2005-12-10 7311360]

“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2005-12-10 86016]

“SpeedTouch USB Diagnostics”=“c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe” [2004-01-26 866816]

“Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe” [2009-02-27 35696]

“BearShare”=“e:\program files\BearShare\BearShare.exe” [2005-08-04 3198976]

“iKeyWorks”=“c:\progra~1\A4Tech\Keyboard\Ikeymain.exe” [2006-09-07 65536]

“EPSON Stylus CX3600 Series”=“c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE” [2004-03-04 98304]

“EPSON Stylus CX3600 Series (Kopia 1)”=“c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE” [2004-03-04 98304]

“SoundMan”=“SOUNDMAN.EXE” - c:\windows\SOUNDMAN.EXE [2002-11-19 46592]

“nwiz”=“nwiz.exe” - c:\windows\system32\nwiz.exe [2005-12-10 1519616]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

“nltide_2”=“shell32” [X]

c:\documents and settings\jacu\Menu Start\Programy\Autostart\

hamachi.lnk - c:\program files\Hamachi\hamachi.exe [2009-4-5 625952]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“%windir%\system32\sessmgr.exe”=

“c:\Program Files\Gadu-Gadu\gg.exe”=

“d:\GRY\CS 1.6 STEAM\steamapps\nitro_nsg18\counter-strike\hl.exe”=

“d:\mirc\mirc.exe”=

“c:\Program Files\Hamachi\hamachi.exe”=

S2 PowerManager;Power Manager; [x]

— Inne Usługi/Sterowniki w Pamięci —

*NewlyCreated* - POWERMANAGER

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.daemon-search.com/startpage

TCP: {802255F0-A35C-412B-BE54-7BD7CF19063B} = 213.241.79.37 83.238.255.76

FF - ProfilePath - c:\documents and settings\jacu\Dane aplikacji\Mozilla\Firefox\Profiles\2eepnlpd.default\

FF - prefs.js: browser.startup.homepage - wp.pl

.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-17 19:11

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - > ‘explorer.exe’(3256)

c:\windows\system32\ieframe.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\wscntfy.exe

c:\windows\svchost.exe

.

**************************************************************************

.

Czas ukończenia: 2009-04-17 19:13 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-04-17 17:13

Przed: 3 366 543 360 bajtów wolnych

Po: 3 415 515 136 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Professional” /noexecute=optin /fastdetect

163

Usunęło sie wiem ze to program zrobil ale dziekuje Ci za pomoc Prosze jeszcze o sprawdzenie czy aby napewno, bo na moj rozum to tak wyglada ale ja sie nie znam.